Manipulierte Ausweise: CCC hackt Videoident

Hinter dem Stopp von Videoident-Verfahren bei den Krankenkassen steckt ein Hack des Chaos Computer Clubs. Der Verein fordert weitere Konsequenzen.

Artikel veröffentlicht am ,
Mit einfachen technischen Verfahren lassen sich Ausweisdokumente per Videoident manipulieren.
Mit einfachen technischen Verfahren lassen sich Ausweisdokumente per Videoident manipulieren. (Bild: CCC)

Sicherheitsexperten des Chaos Computer Clubs (CCC) haben einen erfolgreichen Angriff auf gängige Lösungen für Identifizierungsverfahren per Video (Videoident) demonstriert. Dabei hätten sie sich unter anderem Zugriff auf die elektronische Patientenakte einer Testperson verschafft, teilte der CCC am 9. August 2022 mit. Die Hackervereinigung fordert, "diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht".

Stellenmarkt
  1. Data Scientist / Statistikerin / Statistiker / Epidemiologin / Epidemiologe - Hämatologie ... (m/w/d)
    Universitätsklinikum Frankfurt, Frankfurt am Main
  2. IT-Systemkauffrau / -kaufmann m/w/d
    Stockmeier Holding GmbH, Bielefeld
Detailsuche

Bereits am Vortag untersagte die Gematik aus Sicherheitsgründen den Krankenkassen die Nutzung von Videoident-Verfahren. Hintergrund der Entscheidung war offenbar der nun bekanntgewordene Hack der Verfahren durch den CCC.

In einem 30-seitigen Bericht (PDF) demonstriert der Sicherheitsforscher Martin Tschirsich einen "praktischen Angriff auf Videoident". Darin erläutert er, wie es ihm "mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe gelungen ist, mittels 'videotechnischer Neukombination mehrerer Quell-Dokumente' sechs Videoident-Lösungen zu überlisten und den Mitarbeitern bzw. der Software eine fremde Identität vorzugaukeln". Bislang seien diese Angriffe unerkannt geblieben.

Da Videoident seit 2021 für den Zugriff auf die ePatientenakte und inzwischen auch das eRezept im Einsatz sei, habe Tschirsich "im Prinzip für eine beliebige Auswahl der 73 Millionen gesetzlich Versicherten eine elektronische Patientenakte (ePA) eröffnen und darüber deren in Arztpraxen, Krankenhäusern und bei Krankenkassen gespeicherten Gesundheitsdaten anfordern" können.

CCC: Angriff mit geringem Aufwand durchführbar

Golem Karrierewelt
  1. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    07.-10.11.2022, virtuell
  2. IPv6 Grundlagen: virtueller Zwei-Tage-Workshop
    19./20.12.2022, virtuell
Weitere IT-Trainings

In dem beschriebenen Fall erlangte Tschirsich Zugriff auf die Gesundheitsdaten einer eingeweihten Testperson, "darunter eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen sowie Original-Behandlungsunterlagen".

Nach Einschätzung des CCC ist der Angriff "von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar". Daher sei das Risiko des weiteren Missbrauchs als hoch einzuschätzen.

Auch eine Prüfung durch Methoden der künstlichen Intelligenz (KI) hält Tschirsisch nicht für zuverlässig. "Die Annahme, dass moderne Videoident-Verfahren die bekannten Schwächen 'durch den Einsatz von künstlicher Intelligenz' beheben können, hat sich in der Praxis als falsch herausgestellt", sagte der Sicherheitsforscher.

Bitkom kritisiert pauschalen Stopp von Videoident

Kritik an der Entscheidung der Gematik kam unterdessen vom IT-Branchenverband Bitkom. "Statt Anbieter mit Verdacht auf Sicherheitslücken anzusprechen und Lösungen zu erarbeiten, wurden alle Dienste pauschal gesperrt", sagte Bitkom-Hauptgeschäftsführer Bernhard Rohleder und fügte hinzu: "Wer jetzt digitale Gesundheitsangebote nutzen möchte, für die eine Authentifizierung notwendig ist, muss persönlich in einer Filiale der Krankenkasse oder der Post erscheinen. Damit wird eine unnötige Hürde auf dem Weg zu einer digitalen Gesundheitsversorgung aufgebaut."

Rohleder bezeichnete die Sofort-Identifizierung per Video "essenziell, um digitale Dienste schnell, sicher und einfach verfügbar zu machen". Das Verfahren sei deshalb "integraler Bestandteil digitaler Angebote in vielen Branchen - sei es bei der Anmeldung eines Bankkontos, bei Kreditprüfungen, Versicherungsverträgen oder bei Prüfungen für Carsharing-Dienste". Videoident-Anbieter ohne Sicherheitslücken müssten daher auch bei den Krankenkassen umgehend wieder für Identifizierungsverfahren zugelassen werden.

Nachtrag vom 10. August 2022, 21:45 Uhr

Der Sprecher von Bundesgesundheitsminister Karl Lauterbach (SPD), Hanno Kautz, begrüßte hingegen am Mittwoch vor Journalisten in Berlin das Vorgehen der Gematik, "weil gerade Patienten- und Behandlungsdaten sehr sensible Daten sind und wir deswegen um hohe Sicherheitsstandards bemüht sind".

Ein Sprecher des Bundesfinanzministeriums wollte sich hingegen noch nicht zu der Frage äußern, ob der Bericht des CCC auch Auswirkungen auf die Nutzung von Videoident im Bankenwesen habe. Das Ministerium könne dies noch nicht bewerten, "weil maßgebliche Einzelheiten zu den Angriffsszenarien in dem bisher vorliegenden Bericht noch nicht vorliegen".

Innenministerium prüft weitere Nutzung von Videoident

Das für Fragen der IT-Sicherheit zuständige Bundesinnenministerium bezeichnete das Videoident-Verfahren als "eine Brückentechnologie, die aufgrund ihrer Marktdurchdringung und Verfügbarkeit derzeit zur Fernidentifizierung genutzt wird". Das Ministerium nehme die aufgezeigten Angriffsvektoren auf zwei Identifizierungsverfahren "sehr ernst". "Die konkreten Umstände der jeweiligen Angriffsszenarien wird die Bundesregierung sehr sorgfältig prüfen", sagte ein Sprecher. Das beziehe sich auch "auf die Fortsetzung der Nutzung dieser Technologien".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


EdRoxter 31. Aug 2022 / Themenstart

D'accord!

Mopsmelder500 15. Aug 2022 / Themenstart

Das Postident der Post ist auch nicht besser. Ich habe zu Pandemiezeiten zwei Konten...

dobeldo 13. Aug 2022 / Themenstart

Nachtrag: glaube kaum das irgendein Hacker "kaputt machen" in Verbindung mit dem CCC in...

dobeldo 12. Aug 2022 / Themenstart

Was willst du denn damit sagen? Weil manche Leute eine Begriff negative wahrnehmen, er...

Kommentieren



Aktuell auf der Startseite von Golem.de
Cloudgaming
Google Stadia scheiterte nur an sich selbst

Die Technik war nicht das Problem von Alphabets ambitioniertem Cloudgaming-Dienst. Das Problem liegt bei Google. Ein Nachruf.
Eine Analyse von Daniel Ziegener

Cloudgaming: Google Stadia scheiterte nur an sich selbst
Artikel
  1. Tiktok-Video: Witz über große Brüste kostet Apple-Manager den Job
    Tiktok-Video
    Witz über große Brüste kostet Apple-Manager den Job

    Er befummle von Berufs wegen großbrüstige Frauen, hatte ein Apple Vice President bei Tiktok gewitzelt. Das kostete ihn den Job.

  2. Copilot, Java, RISC-V, Javascript, Tor: KI macht produktiver und Rust gewinnt wichtige Unterstützer
    Copilot, Java, RISC-V, Javascript, Tor
    KI macht produktiver und Rust gewinnt wichtige Unterstützer

    Dev-Update Die Diskussion um die kommerzielle Verwertbarkeit von Open Source erreicht Akka und Apache Flink, OpenAI macht Spracherkennung, Facebook hilft Javascript-Enwicklern und Rust wird immer siegreicher.
    Von Sebastian Grüner

  3. Vantage Towers: 1&1 Mobilfunk gibt Vodafone die Schuld an spätem Start
    Vantage Towers
    1&1 Mobilfunk gibt Vodafone die Schuld an spätem Start

    Einige Wochen hat es gedauert, bis 1&1 Mobilfunk eine klare Schuldzuweisung gemacht hat. Doch Vantage Towers verteidigt seine Position im Gespräch mit Golem.de.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV 2022 65" 120 Hz 1.799€ • ASRock Mainboard f. Ryzen 7000 319€ • MindStar (G.Skill DDR5-6000 32GB 299€, Mega Fastro SSD 2TB 135€) • Alternate (G.Skill DDR5-6000 32GB 219,90€) • Xbox Series S + FIFA 23 259€ • PCGH-Ratgeber-PC 3000€ Radeon Edition 2.500€ [Werbung]
    •  /